1. Principales Vulnerabilidades y Filtraciones de la semana

2. Asistentes IA en meets

3. El ransomware Akira ataca servidores Windows a través de RDP y elude el EDR con un truco de cámara web

Principales Vulnerabilidades y Filtraciones de la semana

💥Detectan una puerta trasera en el chip ESP32 de gran consumo que podría infectar millones de dispositivos IoT (Noticia)

Esta semana estuvimos en el mayor evento de hacking de España, la RootedCON, y pudimos ver de primera mano el descubrimiento de los amigos de Tarlogic de una puerta trasera en el ESP32, un microcontrolador que permite la conexión WiFi y Bluetooth y que está presente en millones de dispositivos IoT de gran consumo. La explotación de esta puerta trasera permitiría a actores hostiles realizar ataques de suplantación de identidad e infectar de forma permanente dispositivos sensibles como teléfonos móviles, ordenadores, cerraduras inteligentes o equipos médicos saltándose los controles de auditoría de código.

💥Generali sufre un ciberataque que afecta a los ex clientes de Liberty y de BBVA Seguros (Noticia)

"Nos vemos en la necesidad de informarle que hemos detectado un ciberincidente de seguridad en Generali Seguros y Reaseguros S.A.U. (antigua Liberty), que ha supuesto el acceso por un tercero, suplantando las credenciales de un usuario autorizado, a nuestro sistema de información y ha provocado que parte de la información relativa a la póliza de auto o de hogar que contrató y que conservamos de cuando fue tomador en cumplimiento de nuestras obligaciones legales y contractuales, se haya visto expuesta"

💥El Corte Inglés sufre un ciberataque que ha filtrado datos de miles de clientes (Noticia)

El Corte Inglés (ECI) ha informado este domingo de que un proveedor externo ha sufrido un acceso no autorizado a datos personales de clientes del comercio si bien la información vulnerada no permite a terceros operar ni realizar pagos con su tarjeta.

💥Tres vulnerabilidades activas en VMware: Actualización obligatoria (Noticia)

Broadcom ha emitido un conjunto de parches de seguridad para mitigar tres vulnerabilidades de alto riesgo (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) explotadas activamente en entornos de virtualización VMware ESXi, Workstation y Fusion. Estas brechas, catalogadas como zero-day debido a su explotación previa a la remediación, permiten ejecución remota de código (RCE), escape de máquina virtual (VM Escape) y exfiltración de memoria sensible, comprometiendo la integridad de infraestructuras críticas.

💥CISA etiqueta vulnerabilidades de Windows y Cisco como explotadas activamente (Noticia)

La agencia CISA está advirtiendo a contra ataques que explotan vulnerabilidades en los sistemas Cisco y Windows. Si bien la agencia de ciberseguridad ha etiquetado estas fallas como explotadas activamente, aún no ha brindado detalles específicos sobre esta actividad maliciosa y quién está detrás de ella.

Asistentes IA en meets

Por suerte, el mensaje de la seguridad va calando y ya se firman acuerdos de confidencialidad con frecuencia. Pero con toda la evolución que nos traen las IAs, ha surgido un nuevo actor del que queremos alertar. Se trata de los asistentes IA que se incluyen en reuniones y videollamadas con el fin de tomar notas y generar un resumen para los asistentes. Una tarea sin duda interesante, pero que puede dejar una puerta abierta comprometiendo información crítica de nuestra organización.

• ¿Donde se almacenan los datos recopilados en esa conversación?

• ¿Quién tiene acceso a esas notas?

• ¿Por cuanto tiempo se almacena la información?

• ¿El proveedor del bot IA nos da algún documento legal?

Sólo toma notas o ¿también es capaz de extraer información extra, como por ejemplo el tono de voz de los asistentes?

Son muchas las preguntas que nos asaltan, tenemos claro que tienes que solicitar permiso a los asistentes, y por ahora no se está haciendo en la mayoría de los casos. En algunas ocasiones incluso de trata de servicios gratuitos que no disponen ni de página web donde consultar información acerca del servicio.

El ransomware Akira ataca servidores Windows a través de RDP y elude el EDR con un truco de cámara web

En un reciente incidente de ciberseguridad, el grupo de ransomware Akira demostró la evolución de sus tácticas aprovechando una cámara web no segura para eludir las herramientas de detección y respuesta de endpoints (EDR).

Este novedoso enfoque pone de manifiesto la capacidad del grupo para adaptarse y eludir las medidas de seguridad tradicionales, lo que lo convierte en una amenaza formidable en el panorama de la ciberseguridad.

El grupo suele utilizar el Protocolo de Escritorio Remoto (RDP) para moverse lateralmente dentro de la red, mezclándose con las actividades legítimas del administrador del sistema.

En un incidente reciente, Akira intentó desplegar ransomware en un servidor Windows a través de un archivo zip protegido con contraseña, pero la herramienta EDR detectó y puso en cuarentena el archivo, frustrando el intento inicial.

Frente a las defensas del EDR, Akira cambió su estrategia realizando un escaneado interno de la red para identificar dispositivos vulnerables. El análisis reveló varios dispositivos del Internet de las Cosas (IoT), incluidas cámaras web y un escáner de huellas dactilares.

Al comprometer la webcam, Akira desplegó con éxito su ransomware basado en Linux, aprovechando las capacidades de shell remoto del dispositivo y su estado no supervisado para cifrar archivos a través de la red de la víctima.

Noticia (GBHackers) | Análisis Técnico

Ver historial de Publicaciones